Skip to content 
Certyfikacja SZBI wg ISO/IEC 27001.
Jeżeli osiągnąłeś już sprawność organizacyjną, masz zdefiniowane, wydajne i zinformatyzowane procesy, przychodzi czas na ochronę tego co stanowi twój know-how. Często są to wiedza, informacje, dane, doświadczenie i inne aktywa. Warto wtedy zastanowić się nad uszczelnieniem firmy od strony teleinformatycznej, organizacyjnej i fizycznej. ISO/IEC 27001 to w dużej części standard, który pomoże Ci to osiągnąć poprzez wdrożenie jego do codziennej praktyki biznesowej. A Certyfikacja ISO 27001 jest zwieńczeniem tych prac, jednakże bardzo ważnym, bo pozwala utrzymywać kondycję systemu i legitymizować się nim w relacjach biznesowych. Patrzenie przez pryzmat bezpieczeństwa aktywów informacyjnych w Twoim biznesie oraz Twojego klienta pokazuje każdej ze stron i interesariuszom dojrzałość biznesową.
Rodzina norm serii ISO/IEC 27000.
Nie trzeba szukać wielu rozwiązań organizacyjnych aby przekonać się o wartości standardu ISO 27001. Spójrz na rodzinę norm tej serii (opis uproszczony):
- ISO/IEC 27000 – Terminologia,
- ISO/IEC 27001 – Wymagania,
- ISO/IEC 27002 – Praktyczne zasady zabezpieczania informacji,
- ISO/IEC 27003 – Przewodnik wdrożenia,
- ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena,
- ISO/IEC 27005 – Analiza ryzyka,
- ISO/IEC 27006 – Certyfikacja,
- ISO/IEC 27007 – Przewodnik audytowania SZBI,
- ISO/IEC 27008 – Ocena zabezpieczeń,
- ISO/IEC 27017 – Cloud computing,
- ISO/IEC 27018 – Bezpieczeństwo danych osobowych w chmurze,
- ISO/IEC 27035 – Zarządzanie incydentami,
- ISO/IEC 27036 – Relacje z dostawcami, itd.
To największa rodzina norm ISO. Naprawdę możesz na bazie tych standardów i swojej wiedzy zbudować efektywny SZBI – System Zarządzania Bezpieczeństwem Informacji. Część z tych norm została przetłumaczona na język polski – niestety niewielka, ale warto pozyskać je aby oswoić się z ich specyficznym językiem – zobacz link sklep PKN1 na dole artykułu. Pozostałe normy można pozyskać u źródła – ISO.org2. Jeżeli szukasz oszczędności przy zakupie norm w wersji angielskiej, to około 10-20% taniej możesz je pozyskać w Estońskim Centrum Standaryzacji3.
Normy z tego zakresu znacznie szybciej reagują na zmiany w otoczeniu biznesowym niż legislacja, czego przykładem może być także wprowadzenie zmian dotyczących zarządzaniem informacją o prywatności ujętej w normie ISO/IEC 27701. Szerzej na temat prywatności mówią normy z rodziny ISO/IEC 29100, z których dwie zostały przetłumaczone przez PKN. Są to ISO/IEC 29134 – Ocena skutków dla prywatności, oraz ISO/IEC 29151 – Praktyczne zasady ochrony informacji o identyfikowalnych osobach. Warto je wykorzystać przy opracowywaniu rozwiązań z zakresu RODO.
Dlaczego warto wdrożyć SZBI?
Dlaczego potrzebna jest certyfikacja ISO 27001?
Certyfikacja ISO 27001 – Usługa jest akredytowana certyfikacja i realizowana zgodnie z wymaganiami ISO/IEC 27006. Nikt jej nie podważy i wyróżni Cię w otoczeniu biznesowym.
Audyty realizujemy zespołem audytorów posiadających unikalne kompetencje w obszarze IT i systemów zarządzania (w tym CISA, CISM, CISSP, itd.), co daje Ci poczucie należytej jakości.
Bardzo dobrze rozumiemy kwestie RODO, które możemy ocenić także w ramach usługi Audyt RODO – zobacz stronę z tym związaną. Jest to więc ocena Twoich rozwiązań w tym aspekcie.
Każde wymaganie poparte jest dowodem obiektywnym. Wszystko w ujęciu przyczynowo-skutkowym.
Certyfikowany system ISO 27001 jest sprawdzeniem rozwiązań w obszarze bezpieczeństwa informacji w Twojej firmie. Jest jak kropka nad „i”, zwieńczeniem dokonanych zmian.
System ISO 27001 stanowi uwiarygodnienie Twoich usług, oraz ich bezpieczeństwa dla Klienta, itp.
Tą listę argumentów można by ciągnąć jeszcze długo. Ale najważniejszym jest aby motywacja do jego wdrożenia była Twoją potrzebą, nie narzuconą z góry. Dlatego wdrożenie jako projekt wewnętrzny powinno być realizowane przez kompetentnych konsultantów, fachowców w branży. Presja rynku prędzej czy później sprowadzi system do certyfikatu na ścianie jeśli nie wniknie on w kulturę organizacyjną, będzie tylko zewnętrzną koniecznością. Certyfikacja ISO 27001 to pierwszy krok do zgodności z RODO oraz z ustawą o KSC (Cyberbezpieczeństwo). Certyfikacja ISO 27001/ISO 22301 to także potwierdzenie Twoich umiejętności odtworzenia działalności, testowania różnych scenariuszy dla SOC’ów, CSIRT’ów w ramach ustawy o KSC. Najlepszy sposób uwiarygodnienia swoich usług w obszarze KSC, realizowany jest zawsze poprzez własną certyfikację, ale akredytowaną – pamiętaj o tym. Certyfikat ISO 27001 będzie wizualizacją tego procesu i zwieńczeniem sukcesu, ale to za mało w biznesie – system musi działać, służyć i pomagać organizacji – tak jak w przypadku RODO.
Trochę od kuchni. Na co zwrócić uwagę przy wdrożeniu. Nowelizacja normy z 2022 roku
Kluczowym elementem opisującym nasze zabezpieczenia jest załącznik A.1. w normie ISO/IEC 27001, na bazie którego tworzymy naszą deklarację stosowania. Przeanalizuj, przedyskutuj z Twoim działem IT zasadność jakichkolwiek wyłączeń, czyli wymagań nie mających zastosowania do Twojego biznesu. Dość często pojawiają się w tym temacie nieporozumienia skutkujące niezgodnościami już na 1 etapie certyfikacji. Innym elementem systemu, który warto odnieść do dobrych praktyk jest monitorowanie i pomiary. Tutaj zachęcamy Cię do sięgnięcia po normę ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena. Już sama nazwa wskazuje przeznaczenie tego przewodnika.
Rok 2022 był okresem zmian w rodzinie norm bazowych serii ISO/IEC 270xx, czyli ISO/IEC 27001:2022 oraz ISO/IEC 27002:2022, która poprzedziła wydanie normy certyfikacyjnej, tej z wymaganiami. Więcej na ten temat można przeczytać na naszym blogu w kolejnych wpisach, jak również o normach posiłkowych, współbieżnych, które dostarczają wytycznych jak rozwiązać temat wymagań. Warto więc przeczytać kilka artykułów naszych audytorów:
- https://coe.biz.pl/iso-27557-privacy-risk/
- https://coe.biz.pl/iso-27001-2022-nowa-odslona/
- https://coe.biz.pl/common-criteria/
- https://coe.biz.pl/privacy-by-design-en-17529/
- https://coe.biz.pl/relacje-z-dostawcami/
- https://coe.biz.pl/iot-privacy/
- https://coe.biz.pl/dostawcy-iso-27036-3/
- https://coe.biz.pl/iso-27032-internet-security-czesc-2/
- https://coe.biz.pl/iso-38507-wykorzystanie-ai-w-zarzadzaniu/
- https://coe.biz.pl/iso-27032-internet-security/
Warto też wspomnieć o analizie ryzyka i pewnym przekazie, który pozwala zrozumieć jej istotę. Czynniki ryzyka (ludzkie, losowe, techniczne, etc.) wykorzystując podatności aktywów tworzą zagrożenia. Najczęściej wykorzystywana metoda analizy ryzyka w ISMS’ie, oparta na ISO/IEC 27005 dla każdego Risk Managera ma jednak pewne niedoskonałości. Widać to bardziej, gdy zaczniemy myśleć w kierunku scenariuszy. Dlatego podejście to w naszych projektach wzmacniamy metodyką BowTie z wykorzystaniem narzędzi informatycznych Wolters Kluwer Enablon – BowTieXP – analiza ryzyka, wzmocniona o AuditXP – audyty zabezpieczeń wypełniają wszystko to co jest potrzebne w audytowaniu SZBI.
Akredytacja i kompetencje. Certyfikacja ISO 27001 w QSCert.
WAŻNE: Informacja o akredytacji QSCert w zakresie standardu ISO/IEC 27001 dostępna jest na stronie firmowej: https://www.qscert.com . Znajdą tam Państwo informacje co do zakresu akredytacji, daty ważności oraz certyfikat akredytacyjny. Wszystkie te dane można pobrać w formie dokumentu. Certyfikacja tego standardu ma charakter akredytowany.
Dodatkowe informacje: Certyfikacja prowadzona jest ona przez audytorów posiadających unikalne kompetencje potwierdzone certyfikatami CISA, CISM, CISSP, DRM Manager, LA ISO 27001/22301, Risk Manager ISO 31000, i innymi. Stawiamy na jakość, stawiamy na wiedzę – to Twoje poczucie komfortu podczas wywiadu audytowego.
Dlatego w takich przypadkach zachęcamy Cię do dedykowanego standardu – np. CSA Star (Cloud Computing), który stosuje cywilizowany świat. Nie chodź na skróty, każdy znawca w przedmiocie rozumie para certyfikację, szkoda utracić potencjalne korzyści, zlecenia, dobre imię. Dodatkowym argumentem wyróżniającym naszą usługę jest akredytacja w zakresie eIDAS – wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym. Bezpieczeństwo informacji, ciągłość działania, RODO, Privacy, Cloud Computing to nasza domena.
Certyfikacja ISO 27001, to certyfikacja na miarę XXI wieku. A gdy rozwinie się ją o ISO 22301 – o ciągłość działania dajesz znak rynkowi o wiarygodności i wadze Twojego biznesu. Spróbuj i daj feedback rynkowi, że Twój certyfikat ISO 27001 stanowi gwarancję rzetelności i wiarygodności biznesowej. Myślenie tylko poprzez standardy obsługi i jakość dzisiaj już nie wystarcza aby funkcjonować na rynku. Trzeba chronić swój biznes, swoje aktywa.
Pobierz nasz flyer o certyfikacji ISO 27001.
Odnośniki:
- 1 https://sklep.pkn.pl/
- 2 https://iso.org/
- 3 https://www.evs.ee/
- ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection. Information security management systems. Requirements – https://www.iso.org/standard/27001
Zapraszamy do współpracy, do kontaktu.
Zespół Centre of Excellence & QSCert
“Jedyną stałą rzeczą w życiu jest zmiana”
Peter F. Drucker